Structure du script de service

Dans la première ligne de l'en-tête du script se trouve de l'information à propos de la version du moteur (ev), de l'interface graphique (gv) et du journal (lv). Vous pouvez utiliser ces données pour suivre les changements indiqués dans un fichier .xml qui génère le script, et empêcher toute incohérence dans l'exécution. Cette partie du script ne devrait pas être modifiée.

Le reste du fichier est divisé en sections dans lesquelles certains éléments peuvent être modifiés (en remplacement de ceux qui seront traités par le script). Vous pouvez marquer des éléments pour traitement en remplaçant le caractère « - » se trouvant devant un élément par le caractère « + ». Les sections du script sont séparées l'une de l'autre par une ligne vide. Chaque section comporte un numéro et un titre.

01) Processus en cours

Cette section contient une liste de tous les processus en cours d'utilisation dans le système. Chaque processus est identifié par son chemin UNC puis par un code de hachage CRC16 entre astérisques (*).

example

Exemple :

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

Dans cet exemple, un processus, module32.exe, a été sélectionné (indiqué par le caractère « + »); le processus s'arrêtera à l'exécution du script.

02) Modules chargés

Cette section dresse la liste des modules système actuellement utilisés.

example

Exemple :

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

Dans cet exemple, le module khbekhb.dll est précédé d'un « + ». Lors de l'exécution du script, ce dernier reconnaîtra les processus utilisant ce module particulier et les arrêtera.

03) Connexions TCP

Cette section contient de l'information sur les connexions TCP existantes.

example

Exemple :

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

Lors de l'exécution du script, ce dernier isolera le propriétaire de l'interface de connexion dans les connexions TCP marquées et fermera alors l'interface, ce qui libérera des ressources système.

04) Points d'extrémité UDP

Cette section contient de l'information sur les points d'extrémité UDP.

example

Exemple :

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

Lors de l'exécution du script, ce dernier isolera le propriétaire de l'interface de connexion aux points d'extrémité UDP marqués et fermera l'interface.

05) Entrées de serveur DNS

Cette section contient de l'information sur la configuration actuelle du serveur DNS.

example

Exemple :

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

Les entrées du serveur DNS marquées seront supprimées lors de l'exécution du script.

06) Entrées de registre importantes

Cette section contient de l'information sur les entrées de registre importantes.

example

Exemple :

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

Les entrées marquées seront supprimées, réduites à une valeur de 0 octet ou remises à leur valeur par défaut lors de l'exécution du script. Cette action qui doit être effectuée sur une entrée particulière variera selon la catégorie d'entrée et la valeur clé, dans le registre particulier.

07) Services

Cette section dresse la liste des services enregistrés dans le système.

example

Exemple :

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

Les services marqués et leurs dépendants seront arrêtés et désinstallés lors de l'exécution du script.

08) Pilotes

Cette section dresse la liste des pilotes installés.

example

Exemple :

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

Lorsque vous exécuterez le script, les pilotes sélectionnés seront alors arrêtés. À noter que certains pilotes ne s'autorisent pas à être arrêtés.

09) Fichiers critiques

Cette section contient de l'information sur les fichiers critiques au fonctionnement approprié du système d'exploitation.

example

Exemple :

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

Les éléments sélectionnés seront supprimés ou remis à leurs valeurs d'origine.

10) Tâches planifiées

Cette section contient de l'information sur les tâches planifiées.

example

Exemple :

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]